syslogにFORMERRエラーをバインドする
最近、障害が発生したルーターを交換しました...そしてしばらくして、/ var/log/syslogで報告された多くの(少なくともクエリの数より1桁またはそれ以上の)エラーが次の形式で見つかりました:
Mar 18 19:53:20 kenneth named[4022]: DNS format error from 192.112.36.4#53 resolving ./NS: non-improving referral
Mar 18 19:53:20 kenneth named[4022]: error (FORMERR) resolving './NS/IN': 192.112.36.4#53
Bind.confに次のものが含まれていることは重要です。
dnssec-enable no;
dnssec-validation no;
これは、UDPデータグラムを破壊する新しいルーターなどの問題の可能性がありますか?新しいルーターは(安価な)Netgear WNR854Tで、最新のファームウェアが適用されています。
上記から明らかでない場合、誰でもこの障害を診断する最善の方法を提案できますか?
-追加の詳細-これは、解決すべきと確信している住所に対するDigからの典型的な応答です。
$ Dig A barclays.co.uk ~
; <<>> Dig 9.8.1-P1 <<>> A barclays.co.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22161
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;barclays.co.uk. IN A
;; Query time: 84 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Mar 20 23:08:40 2013
;; MSG SIZE rcvd: 32
$
ネットワーク要素(ルーターなど)がUDP DNSトラフィックを切り捨てているか破損していると思われる場合は、次のことを試してください。
- Digを使用して同じクエリを再度実行し、応答コードとしてFORMERRも取得しているかどうかを確認します。 Dig(適切なオプションを使用)は、再帰サーバーと同様に機能しますが、プロセスの可視性が向上します。
- DigでFORMERRが発生する場合は、Dig + tcpを試し、エラーが続くかどうかを確認します(UDPの問題を除外するため)。
- Wiresharkまたは別のスニファを使用して、クエリを満たすために再帰的にサーバーが受信しているものをキャプチャします。
ログ内のすべてのFORMERRエラーは、改善されていない紹介に不満を持っていますか? Digはこれらのエラーメッセージを生成するクエリの「追加」セクションに何と言っていますか?
最後に、まだ言及していないスタブゾーンまたは転送優先ゾーンまたは転送専用ゾーンがセットアップされていますか?
インドネシアを訪問していますが、オペレーター/政府がDNSを妨害しているため、これらのメッセージが表示されます。 DNSSECが検証に失敗し、ルートサーバーに直接アクセスすると、FORMERRメッセージがログに記録されます(bind9、DNSクエリごとに13メッセージ)。この例のアドレスはDNSルートサーバーGです。